Den 16 juli i års meddelade EU-domstolen dom i Schrems II-målet. Domen slår fast att Privacy Shield-avtalet mellan EU och USA inte ger tillräckligt skydd för personuppgifter när dessa överförs till USA.
Privacy Shield är en överenskommelse sedan 2016 om skydd för personuppgifter mellan EU och USA. Denna innefattar särskilda principer om hur personuppgifter som förs över från EU till USA ska hanteras samt olika översynsmekanismer för att se till att dessa principer följs. Företag i USA kan ansluta sig till Privacy Shield genom att anmäla sig till USA:s handelsdepartement och uppge att de uppfyller de krav som ställs i Privacy Shield.
Den 16 juli i år gav dock EU-domstolen dom i det så kallade Schrems II-målet. Domen slår fast att Privacy Shield avtalet mellan EU och USA inte ger tillräckligt skydd för personuppgifter när dessa överförs till USA. Detta ogiltighetsförklarande innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA. EU-domstolens dom innebär att Privacy Shield upphör att gälla omedelbart. Finns det ett behov att överföra uppgifter till USA måste ni hitta en annan juridisk lösning i dagsläget.
Det är upp till var och en som vill föra över personuppgifter till USA eller ett annat tredje land att göra en bedömning om tillräckliga skyddsåtgärder anses har vidtagits för att garantera att kraven i dataskyddsförordningen uppfyllts.
Vad bör jag som företagare göra nu?
En viktig del är att kartlägga vilka flöden av personuppgifter som finns i organisation och vilka av dessa som kommer att överföras till ett tredje land, som exempelvis USA. Om det är så att ni har uppgifter idag som överförs bör ni försöka reda ut hur skyddet hos det mottagande landet ser ut. Vidare måste ni ta ställning till om det finns stöd för överföringen eller inte. I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till ett tredje land. Det är även viktigt att se över hur era tjänster tillhandahåller och överför personuppgifter, det är vanligt att de hyser i ett tredje land.
